MASWE-0002: 内部位置存储敏感数据但访问限制不足

Beta 版内容

此内容处于 beta 版，仍在积极开发中，因此随时可能发生变化（例如结构、ID、内容、URL 等）。

发送反馈

占位符漏洞

此漏洞尚未创建，它是一个 占位符。但您可以检查其状态或自行开始处理。如果该问题尚未被分配，您可以请求分配给您，并按照我们的指南提交包含该漏洞新内容的 PR。

查看我们 GitHub 上 MASWE-0002 相关的问题

初始描述或提示

敏感数据可能存储在内部位置，但未确保应用程序独占访问（例如，使用了错误的文件权限），并且可能被其他应用程序访问。

相关主题

• 文件权限 (Android)
• 配置不当的 FileProvider (Android)
• 避免对 IPC 文件使用已弃用的 MODE_WORLD_WRITEABLE 和 MODE_WORLD_READABLE 模式，请参阅 https://developer.android.com.cn/privacy-and-security/security-tips#internal-storage。它们不提供限制特定应用程序数据访问的能力，也不提供对数据格式的任何控制。如果您想与其他应用程序进程共享数据，请考虑使用内容提供程序，它为其他应用程序提供读写权限，并可以根据具体情况授予动态权限。
• 包含任意数据（此漏洞不包括密钥）的 Keychain 项使用弱保护措施（如 kSecAttrAccessibleAlways、kSecAttrAccessibleAfterFirstUnlock、kSecAttrAccessibleWhenUnlocked）保护 (iOS)

参考资料

• https://developer.android.com.cn/about/versions/nougat/android-7.0-changes#permfilesys
• https://developer.android.com.cn/privacy-and-security/security-tips#internal-storage

MASTG v1 覆盖范围

• MASTG-TEST-0001 - 测试本地敏感数据存储 (android)
• MASTG-TEST-0052 - 测试本地数据存储 (ios)